Tribun Techno
TribunJualbeli
Tribunnews.com
Tribun Network
About Us
Info Iklan
Contact Us
Help
Terms of Use
Privacy Policy
No Thumbnail
Desktop Version

Program PostgreSQL Dipastikan Tidak Alami Kerentanan Keamanan

“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan,” ungkap Julyanto

Program PostgreSQL Dipastikan Tidak Alami Kerentanan Keamanan
Kompas.com
Ilustrasi peretas. 

Laporan Wartawan Tribunnews.com, Fahdi Fahlevi

TRIBUNNEWS.COM, JAKARTA - PostgreSQL Security Team membantah software open source PostgreSQL telah mengalami kerentanan keamanan atau vulnerability.

PostgreSQL Security Team meyakini bahwa registrasi kerentanan keamanan yang terdaftar dalam sistem Common Vulnerabilities & Exposures (CVE) dengan nomor CVE-2019-9193 merupakan sebuah kekeliruan.

Baca: Putra, Remaja 15 Tahun yang Berhasil Meretas Situs NASA

PostgreSQL Security Team telah menghubungi pelapor untuk menginvestigasi masalah tersebut.

Pada registrasi CVE-2019-9193 disebutkan bahwa fitur “COPY TO/FROM PROGRAM” yang tersedia pada PostgreSQL 9.3 hingga 11.2 memungkinkan ‘superuser’ database di dalam grup ‘pg_read_server_files’ bisa mengeksekusi perintah sistem operasi. 

Disebutkan pula bahwa fitur tersebut telah diaktifkan secara default dan bisa disalahgunakan untuk menjalankan perintah sistem operasi di Windows, Linux, dan macOS.

“Padahal yang terjadi adalah fitur yang dipermasalahkan tersebut hanya menjalankan fungsi sebagai mestinya, tidak ada kerentanan,” ungkap Julyanto Sutandang, CEO PT. Equnix Business Solutions. 

Julyanto menambahkan apa yang diklaim sebagai “kerentanan” tersebut mirip seperti saat login sebagai superuser atau root pada sistem Unix, bisa mengedit dan membuat file serta menjalankan perintah sebagai root.

 Fitur “COPY TO/FROM PROGRAM” tersebut secara jelas menyatakan hanya bisa dieksekusi oleh pengguna database yang telah mendapatkan peran sebagai ‘superuser’ atau peran default ‘pg_execute_server_program’. 

Fitur tersebut memang dirancang untuk mengijinkan ‘superuser’ atau ‘pg-execute_server_program’ untuk bertindak sebagai pengguna sistem operasi di mana server PostgreSQL berjalan yang pada umumnya sebagai pengguna “postgres”. 

Halaman
12
Ikuti kami di
Add Friend
Penulis: Fahdi Fahlevi
Editor: Imanuel Nicolas Manafe
  Loading comments...

Baca Juga

© 2019 TRIBUNnews.com,a subsidiary of KG Media. All Right Reserved
Atas